2017年信息安全部門的工作會是什麼樣？

轉眼2017就到，這兩年的安全行業變遷之快是很多人都不曾想見的，隨之而來就是企業信息安全部門工作的變動。國外媒體CSO認為，2017年理應會發生下面這些變化。

安全人才短缺問題仍然存在？

很多報告都已指出，目前市場上仍然有大量的安全職位處於空缺狀態。出於多種原因，企業依然無法聘請到合適的安全技術人員。現在很多企業的安全部門不僅需要解決各種各樣的技術問題，而且還要及時地對各種安全警報進行響應，以及一大堆繁瑣的安全配置都需要他們來完成。但是，由於企業目前所面臨的安全問題其複雜性曲線還沒有達到頂峰，因此安全部門所能得到的人力和物力資源方面的支持是極其有限的。

接下來，讓我們一起看看安全廠商和研究專家們如何預測2017年信息安全行業的工作趨勢。

安全事件的應急響應能力至關重要

Exabeam公司聯合創始人兼首席執行官Nir Polak在接受採訪時表示：

「安全人才的短缺情況仍然沒有好轉，而安全需求卻在不斷提升，目前的信息安全人才庫完全滿足不了市場的需要。我們也可以看到，越來越多的CISO（首席信息安全官）會選擇將企業的安全轉交給第三方安全公司來負責。將企業基礎服務的安全保護任務外包給安全公司來做的確可行，但當企業需要進行安全事件響應時，問題就出現了。安全託管服務提供商（MSSP）並不了解你公司的內部情況和人員配置，也沒有你公司敏感信息的訪問許可權，因此你不能指望把安全應急響應任務交給他們。因此，事件響應只能靠我們自己來完成。所以，這就給企業的事件響應團隊帶來了巨大的壓力，很多人在面對安全事件時甚至都不知道自己該做什麼。」

安全能力會影響企業的發展

每天都會有大量的網路安全事件發生，但是安全人才的儲備工作卻出現了問題。因此，CISO將會更多地去考慮採用一些自動化的安全處理措施，這樣不僅可以提高企業的安全狀態，而且還可以暫時解決安全技術人才短缺的問題。

一個公司的安全事件響應能力將會成為保險公司在承保時的一個重要的衡量標準。保險公司在向企業提供網路保險服務時需要衡量客戶在面對安全事件時的檢測能力和處理能力，並根據其能力來制定相應的安全保險服務條款。

數據泄漏事件將會越來越常見

不出意外的話，2017年還將會發生更多的數據泄漏事件。這些數據不僅將會由黑客泄漏出來，而且還有可能從公司前僱員和承包商那裡泄漏出來，因為這些內部人員可以在離職之前利用自己的職權來收集企業的內部信息（代碼庫和重要文件等）和人才數據（員工身份證信息、信用卡數據和社保號等等），並利用這些數據來為自己謀利。

中小企業紛紛投向安全託管服務提供商（MSSP）的懷抱

WatchGuard Technologies的首席技術官Corey Nachreiner在接受採訪時表示：

「為了圖方便，很多小型企業會將自身服務託管在雲端，並依靠管理服務提供商（MSP）來滿足他們的IT需求。近年來，越來越對的中小型企業開始逐漸意識到了信息安全的重要性，所以他們同樣希望這些MSP可以幫他們解決信息安全方面的問題。因此，很多MSP也開始將安全保護服務添加進了他們的服務清單中，由此便衍生出了安全託管服務提供商（MSSP）這個概念。明年，我們預計會有至少四分之一的小型企業需要依賴於MSSP所提供的安全服務來滿足自身的安全需求，而且這個比例還會逐年增加。」

時代需要CISO和CSO

Citrix公司的首席安全官Stan Black認為：

「也許很多公司都已經開始意識到了，弱勢這些公司身處金融或醫療行業，但如果他們想要在這個信息時代更好地運作下去，就必須將自己視作一個IT企業。實際上，如果你想要在這個時代生存下去，並且保持自身的競爭優勢，那麼你就必須接受這個事實，並且聘請專業的IT技術人員。其實，任何行業中的公司都應該聘請安全專家來解決企業的安全問題，尤其是醫療部門和金融機構。」

「首席身份官」（CIdO）這個職位將會在2017年出現

當企業需要管理員工、客戶、以及第三方合作夥伴的身份識別信息時，CIdO這個角色將成為企業唯一一個可信任的源。

CIdO需要負責維護客戶信息，並監控員工的訪問行為，然後將所有內容及時上報給CEO。這也就意味著，CIdO為了能夠保證組織內部身份驗證機制的完整性，他們的工作將需要覆蓋整個組織的每一步運作環節。因此，CIdO將會成為企業中的一個非常重要的關鍵角色，他們手中握有訪問特權系統的密鑰，並管理著企業中各種信息的交互。

新來的跟老員工之間的差距更大

一般情況下，新加入的安全技術人員有九個月的時間來熟悉企業的情況，也就是說，新來的一般要花九個月左右的時間來變成一個「經驗豐富的老員工」。而在目前的全球市場中，這種經驗豐富的安全技術人員其身價已經增長了一倍之多，企業如果想要聘請這些人，那麼就需要提供更有競爭力的薪水和更高的職位。

時間應該花在刀刃上

與過去相比，信息技術的日趨複雜會讓我們在保護企業網路安全的時候遇到更多的困難。再加上安全技能方面的差距以及人才的短缺，我們遇到的問題會變得更加嚴重。除此之外，很多技術人員將寶貴的時間花在了那些可以通過設備自動完成的任務上。因此，在即將到來的2017年，我們希望可以通過自動化來解決一些需要手動進行的繁瑣任務，並且幫助IT專家去完成一些固定任務，以此來保證他們可以將注意力放在真正需要他們的地方。

總結

信息和數據是社會發展的重要資源。全球範圍內圍繞信息的獲取、使用和控制的鬥爭正在愈演愈烈，所以信息安全成為了維護國家安全和社會穩定的一個重要因素。網路安全已成為亟待解決、影響國家大局和長遠利益的重大關鍵問題，它不但是發揮信息革命所帶來的高效率和高效益的有力保證，而且還是抵禦黑客入侵的重要屏障。

總之，在網路信息技術高速發展的今天，信息安全已變得至關重要。目前，我國在信息安全技術方面的起點還較低，國內只有極少數高等院校開設「信息安全」專業，信息安全技術人才奇缺。我們應充分認識信息安全在網路信息時代的重要性和其具有的極其廣闊的市場前景，所以在文章的最後喝一口雞湯：適應時代，抓住機遇！

* 參考來源：networkworld，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM